¿Cómo puedo utilizar las SCP y las políticas de etiquetas para evitar que los usuarios de mis cuentas de miembros de AWS Organizations creen recursos?

Última actualización: 25 de enero de 2022

Quiero evitar que los usuarios de mis cuentas de miembros de AWS Organizations creen recursos de AWS mediante políticas de control de servicios (SCP) o políticas de etiquetas.

Descripción corta

Las SCP se pueden utilizar para administrar los permisos en su organización, pero no para otorgarlos. Para obtener más información, consulte Políticas de control de servicios (SCP).

Las políticas de etiquetas se pueden utilizar para mantener etiquetas estandarizadas con los recursos de AWS para las cuentas con Organizations. Para obtener más información, consulte Políticas de etiquetas.

Resolución

Utilice la siguiente SCP o política de etiquetas en función de su caso de uso.

Utilice políticas de etiquetas para evitar el etiquetado en los recursos existentes

Las políticas de etiquetas se comprueban cuando se realizan operaciones que afectan a las etiquetas de un recurso existente. Por ejemplo, las políticas de etiquetas pueden hacer que los usuarios no puedan cambiar la etiqueta especificada en los recursos de AWS por una etiqueta no conforme a los requisitos.

El siguiente ejemplo de política de etiquetas permite que el par clave-valor de etiqueta se aplique como entorno-producción para las instancias de Amazon Elastic Compute Cloud (Amazon EC2). La política evita que los usuarios cambien esta etiqueta en las instancias de Amazon EC2 existentes, pero no impide el lanzamiento de nuevas instancias con etiquetas no conformes a los requisitos o sin etiquetas.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Utilice SCP para evitar el etiquetado para crear nuevos recursos

Puede utilizar SCP para evitar la creación de nuevos recursos de AWS que no estén etiquetados para las pautas de restricción de etiquetado de Organization. Para asegurarse de que los recursos de AWS se creen solo si hay una etiqueta determinada, utilice el ejemplo de SCP para exigir una etiqueta en los recursos creados especificados.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?